Medidas de seguridad
En MTech nos tomamos muy en serio la seguridad de la información. Proteger sus datos es una de nuestras responsabilidades más importantes. Creemos firmemente en la transparencia de nuestra forma de trabajar, y esto también se aplica a nuestras prácticas de seguridad para que usted, como cliente, comprenda nuestro enfoque y compromiso.
1. Gobernanza y organización
Nuestro programa de seguridad de la información está dirigido por nuestro Director de Información, que es responsable de la estrategia de seguridad, la gestión de riesgos, el cumplimiento de la legislación aplicable en materia de seguridad de la información y protección de datos, y la supervisión de la seguridad operativa (incluida la revisión de alertas, registros y métricas). El Director de Información también es nuestro responsable interno de protección de datos.
2. Marcos y certificaciones
El programa de seguridad de la información de MTech incorpora las mejores prácticas de los marcos estándar del sector, como ISO 27001 y el Marco de Ciberseguridad (CSF) del NIST. MTech está certificada como SOC2 Tipo 2 por un auditor externo independiente.
Puede Conozca más sobre nuestras certificaciones en https://mtechsystems.io/trust-center.
Nuestro informe SOC2 Tipo 2 está disponible previa solicitud, sujeta a un acuerdo habitual de confidencialidad.
3. Categorías de datos tratados
La plataforma y los servicios de MTech procesan principalmente datos relacionados con las operaciones de producción ganadera y la gestión de la cadena de suministro. La mayoría de los datos son métricas como el recuento de animales, el uso de piensos, el rendimiento de la producción, las condiciones ambientales y el seguimiento de costes, procedentes de sistemas y dispositivos que los abonados deciden conectar.
Los datos personales no son el principal tipo de datos que maneja MTech. Nos centramos en los datos operativos, de producción y de la cadena de suministro para apoyar la gestión ganadera y la toma de decisiones empresariales.
4. Derechos del interesado y solicitudes de protección de la intimidad
MTech apoya los derechos de los interesados en virtud de las leyes de privacidad aplicables. Puede obtener más información sobre cómo gestionamos las solicitudes de acceso, rectificación, supresión o restricción del tratamiento de datos personales en nuestra Política de privacidad, disponible en https://mtechsystems.io/legal/privacy-policy/.
5. Principios básicos de seguridad
La base de nuestro programa de seguridad de la información es impedir el acceso no autorizado a los datos de los abonados.
- Tratamiento de la información. Todos los activos de información se clasifican utilizando una matriz de clasificación formal, con funciones designadas y propiedad asignada en toda la organización para garantizar la responsabilidad y la gestión adecuada.
- Datos en tránsito. Todos los datos transferidos entre los sistemas de los abonados y los servicios de MTech están protegidos mediante protocolos de cifrado potentes, concretamente Transport Layer Security (TLS 1.2 o superior).
- Datos en reposo. Todos los datos almacenados en la plataforma de MTech se cifran en reposo utilizando el estándar de cifrado avanzado (AES-256).
- Segmentación de datos. La plataforma de MTech opera dentro de un entorno seguro en la nube, y los datos de cada abonado están lógicamente separados para garantizar la privacidad y el aislamiento.
- Claves de cifrado. Las claves de cifrado se gestionan de forma segura en Microsoft Azure, con rotación periódica y controles de acceso de acuerdo con las mejores prácticas del sector.
6. Marco de confianza cero
MTech emplea una estrategia de confianza cero en todos los entornos, ya sean internos o basados en el cliente. El marco de confianza cero se basa en tres principios fundamentales.
- Verificar explícitamente. Cada solicitud de acceso se autentica y autoriza basándose en todos los datos disponibles.
- Utilice el acceso con menos privilegios. Limite el acceso de los usuarios a lo estrictamente necesario.
- Asumir la violación. Diseñe sistemas con la expectativa de que se produzcan violaciones.
7. Alojamiento
La plataforma y los servicios de MTech están alojados en Microsoft Azure. Los suscriptores pueden seleccionar su ubicación de alojamiento preferida para cumplir los requisitos empresariales, normativos o de residencia de datos.
8. Seguridad operativa y supervisión
Nuestra plataforma y servicios se supervisan constantemente para detectar desviaciones, anomalías y patrones sospechosos. Supervisamos las cuentas de los abonados y las actividades de los usuarios, incluidas las cuentas con privilegios. Se analizan distintos tipos de tráfico y comportamiento para identificar desviaciones y permitir una respuesta rápida mediante alertas automatizadas. La disponibilidad y el rendimiento de los productos se controlan continuamente mediante servicios de supervisión específicos. Los controles de supervisión y alerta se revisan y actualizan periódicamente para reflejar la evolución de las amenazas y los requisitos operativos.
9. Inteligencia sobre amenazas y análisis de riesgos
El análisis de amenazas de ciberataques a través de Microsoft Defender, Microsoft Sentinel y Blue Voyant ayuda al equipo de seguridad de MTech a identificar riesgos de hackers externos, sabotajes internos y amenazas geopolíticas. La atención se centra en detectar y prevenir el ransomware, los ataques impulsados por el activismo y los ataques a datos sensibles, como nuestro código fuente y los datos de los abonados.
- Microsoft Defender. MTech utiliza Microsoft Defender for Endpoint, Identity, Office 365 y Cloud Apps. Defender for Endpoint proporciona bloqueo en tiempo real y protección frente a amenazas. Defender for Identity protege Active Directory contra el movimiento lateral y el robo de credenciales. Defender for Office 365 mejora la higiene del correo electrónico y la protección frente al phishing. Defender for Cloud Apps supervisa la TI en la sombra y las anomalías en las aplicaciones.
- Microsoft Sentinel. Sentinel sirve como plataforma SIEM de MTech, agregando registros de Defender y otras fuentes. Soporta análisis, alertas y automatización, y está integrado con el SOC de BlueVoyant para la detección y respuesta gestionadas 24/7/365. BlueVoyant clasifica los incidentes de seguridad y los envía al personal interno de MTech cuando procede.
- BlueVoyant. BlueVoyant proporciona cobertura SOC 24/7/365, inteligencia sobre amenazas e informes mensuales a través del portal Wavelength. Admite la cuarentena de puntos finales, la eliminación de archivos y la creación de listas blancas con protocolos preaprobados. La integración SSO con Entra ID garantiza un acceso seguro al portal.
10. Controles de gestión del acceso
MTech aplica sólidos controles de gestión de acceso para garantizar que sólo las personas autorizadas puedan acceder a nuestros sistemas y datos. Los derechos de acceso se conceden sobre la base de los principios de necesidad de conocer y mínimo privilegio, garantizando que los usuarios tengan sólo los permisos necesarios para sus funciones y responsabilidades.
- Autenticación. Protegemos las cuentas con sólidas medidas de autenticación, como la autenticación multifactor (MFA), los tokens de hardware y el inicio de sesión único (SSO).
- Acceso privilegiado. El acceso con privilegios está estrictamente limitado al personal autorizado. Todas las actividades realizadas con derechos elevados se supervisan y registran estrechamente para mantener la responsabilidad y la supervisión.
- Revisiones de acceso. Las revisiones de acceso se realizan periódicamente de acuerdo con un proceso establecido para garantizar que los permisos siguen siendo adecuados.
- Opciones de autenticación de abonados. MTech ofrece opciones de autenticación flexibles para los abonados, incluidas integraciones con proveedores de identidad como Okta, Google, CyberArk y Entra ID.
11. Prácticas de desarrollo seguras
La seguridad está integrada en todo el ciclo de desarrollo del software.
- Despliegue del código. Todos los cambios en el código base se revisan y validan antes de su despliegue en el entorno de producción.
- Supervisión automatizada. Las herramientas automatizadas buscan continuamente posibles vulnerabilidades, lo que garantiza que los problemas se identifiquen y solucionen rápidamente para mantener la seguridad e integridad de nuestra plataforma y servicios.
12. Pruebas de penetración
MTech contrata a terceros independientes para realizar pruebas de penetración periódicas de nuestra plataforma y servicios.
13. Gestión de incidentes
14. Recuperación en caso de catástrofe y continuidad de la actividad
Los suscriptores tienen la opción de desplegar servicios de forma redundante en varias zonas de disponibilidad de Azure, lo que garantiza la resistencia frente a los riesgos del entorno.
Los servicios aprovechan los centros de datos distribuidos geográficamente y la infraestructura en la nube para una alta disponibilidad, continuidad operativa y recuperación en caso de catástrofe, en función del nivel de servicio seleccionado por el abonado.
Las copias de seguridad de los datos de los abonados se realizan mediante almacenamiento georredundante en una región alternativa. En caso de interrupción del servicio en la región principal, los datos se pueden restaurar y el entorno se puede volver a aprovisionar de acuerdo con nuestros procedimientos de recuperación ante desastres.
Los equipos de asistencia e ingeniería están distribuidos por regiones para ofrecer una respuesta rápida.
Los planes de continuidad de la actividad, respuesta a incidentes y recuperación en caso de catástrofe se prueban y actualizan periódicamente.
15. Gestión de riesgos
La gestión de riesgos es una actividad central en MTech y es fundamental para nuestra estabilidad y resistencia operativa a largo plazo. Fomentamos una sólida cultura de riesgo y mantenemos procesos eficaces para identificar, evaluar, gestionar y notificar los riesgos en toda nuestra organización.
MTech supervisa y evalúa continuamente los riesgos mediante un modelo estructurado que tiene en cuenta tanto la probabilidad como el impacto. Los riesgos se identifican, evalúan y priorizan, con estrategias de mitigación desarrolladas y seguidas hasta su cierre. Los informes periódicos garantizan que los responsables de los riesgos y la dirección permanezcan informados y comprometidos con una gestión proactiva de los riesgos.
16. Seguridad de las personas
MTech aplica controles exhaustivos de seguridad del personal para garantizar que los empleados, contratistas y consultores comprenden sus responsabilidades, son adecuados para sus funciones y reciben formación continua.
- Verificación de antecedentes. Se realizan comprobaciones previas a la contratación para todos los nuevos empleados y contratistas. Se recurre a proveedores de servicios externos para realizar estas comprobaciones de forma segura cuando la legislación aplicable lo permite.
- Incorporación. Todo el personal sigue un proceso estructurado de incorporación que incluye la participación en cursos de concienciación sobre la seguridad y formación específica para cada función, así como la asignación de credenciales de acceso.
- Baja. La salida se rige por un proceso formal basado en listas de comprobación que incluye la revocación inmediata del acceso físico y al sistema, la devolución o destrucción del material y la información de la empresa, y recordatorios de las obligaciones vigentes en virtud de acuerdos de confidencialidad y de empleo.
- Concienciación y formación en seguridad. MTech lleva a cabo un programa continuo de concienciación sobre seguridad que incluye formación general sobre seguridad para todo el personal, módulos específicos que abordan los vectores de amenazas actuales (por ejemplo, phishing, ingeniería social), y simulaciones de phishing y formación de seguimiento para las lagunas identificadas.
- Proceso disciplinario. MTech mantiene un proceso disciplinario para tratar las infracciones de seguridad. El proceso garantiza un tratamiento justo y coherente de los incidentes, con protocolos de escalada y medidas correctivas en función de la gravedad y la intención.
17. Seguridad física
MTech se asocia con Microsoft Azure para alojar nuestra plataforma y servicios. Microsoft Azure mantiene certificaciones de seguridad estándar de la industria, incluyendo ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3, y PCI DSS Nivel 1. Puede encontrar más información sobre la seguridad de los centros de datos de Microsoft Azure en https://learn.microsoft.com/en-us/azure/security/.
MTech ha implantado medidas para garantizar que sólo las personas autorizadas puedan acceder a nuestras oficinas físicas. Esto incluye controles de acceso exhaustivos, como el uso de lectores de tarjetas de identificación, cámaras de vigilancia y restricciones de acceso en función de la hora.
18. Gestión de proveedores y subprocesadores
MTech depende de una serie de servicios de apoyo de proveedores externos para operar con eficiencia y eficacia. Cuando estos proveedores están integrados con los servicios de MTech o pueden afectar a nuestra seguridad y tolerancia al riesgo, llevamos a cabo evaluaciones de riesgo exhaustivas antes de incorporar a cualquier proveedor nuevo (incluidos los periodos de prueba) y según sea necesario para los proveedores existentes. Dichas evaluaciones de riesgo incluyen la comprobación del cumplimiento de las normas SOC 2 e ISO 27001.
Todos los subprocesadores (proveedores que procesan datos personales) están sujetos a acuerdos escritos que les obligan a cumplir las normas de seguridad, privacidad y conformidad de MTech. Mantenemos una lista pública de los subprocesadores actuales y notificamos cualquier cambio.
Nuestra lista de subprocesadores está disponible en https://mtechsystems.io/legal/sub-processor-list/.
19. Contacto
Si tiene alguna pregunta sobre nuestras prácticas de seguridad de la información o privacidad de los datos, puede ponerse en contacto con nosotros utilizando los datos que se indican a continuación.
Correo electrónico: support@mtech-systems.com
Mail: 115 Perimeter Center Place NE, Suite 845, Atlanta, GA 30346, EE.UU.